在AEM as a Cloud Service中自動新增至「貢獻者」群組的使用者
在AEM as a Cloud Service中,透過Adobe IMS驗證的使用者會自動新增至貢獻者群組,即使DefaultSyncHandler設定已設定為防止自動加入群組。 此行為可能會將意外的許可權授與Sites和Assets。 若要解決此問題,您需要瞭解發生這種情況的原因,並應用支援的策略來管理存取權。
說明 description
環境
- AEM as a Cloud Service
- Adobe IMS驗證
- 已修改
DefaultSyncHandler設定以停用自動群組成員資格
問題/症狀
- 透過IMS建立或同步的使用者繼續會放置在「貢獻者」群組中。
- 使用者收到的存取許可權與組織的存取控制模型不一致。
DefaultSyncHandler設定不會覆寫IMS導向的群組指派。
原因
- IMS驗證會自動將所有使用者指派給貢獻者群組。
DefaultSyncHandler設定不控制IMS導向的群組指派。- 此設定已在AEM as a Cloud Service間標準化,以達致一致性和穩定的身分同步化。
- 工程部門已確認不支援停用或自訂此自動群組指派。
解決方法 resolution
附註:
- 無法防止IMS驗證的使用者自動新增至貢獻者群組。 建議且支援的方法是維持預設組態。
- 只有在驗證依賴IMS或IMS權杖時,才會自動新增貢獻者。
- 不使用IMS驗證的環境將不會遇到此行為。
如果您需要限制存取,請以可控制的方式套用拒絕規則。
- 保留IMS驗證和貢獻者群組成員資格的預設設定。
- 識別需要限制存取的區域或動作。
- 將拒絕規則套用至這些區域或動作的「貢獻者」群組。
- 避免使用拒絕規則作為主要授權策略;僅將其用於特定情況。
recommendation-more-help
3d58f420-19b5-47a0-a122-5c9dab55ec7f